サービスの説明

HCL 利用規約 – HCL AppScan on Cloud

このサービスの説明 (「サービスの説明」) には、HCL AppScan on Cloud のサービス内容 (「HCL AppScan on Cloud」または「クラウド・サービス」) を記載しています。HCL AppScan on Cloud に適用される追加条件は、HCL クラウド・サービス契約 (「CSA」) に定めています。この契約文書は https://www.hcltechsw.com/wps/portal/resources/master-agreements からダウンロードすることができます。このサービスの説明、該当する添付文書、オーダー、および CSA を合わせ、CSA に基づくトランザクションに関する 完全な契約となります (総称して「契約」)。このサービスの説明で定義されていない太文字の用語は、CSA またはその他該当する契約文書においてそれらの用語に定義されている意味を持ちます。

HCL AppScan on Cloud1.

HCL AppScan on Cloud を使用すると、お客様は各種アプリケーションのセキュリティーの脆弱性 (SQL インジェクション、クロスサイト・スクリプティング、データ漏えいなど) を一箇所で特定することができます。サービスには、各アプリケーションのセキュリティー上の問題を識別する、さまざまなタイプのアプリケーション・セキュリティー・スキャン技術が含まれます。

HCL AppScan on Cloud では、次の機能を提供しています。

  • セキュリティーの脆弱性を検出する、モバイル・アプリケーションのスキャン。
  • 動的分析セキュリティー・テストを使用してセキュリティーの脆弱性を検出する、実稼働または実動前の、パブリック・ネットワークまたはプライベート・ネットワーク、Web サイト、Web サービスのスキャン。
  • 動的分析セキュリティー・テストを使用してセキュリティーの脆弱性を検出する、Web アプリケーションおよびデスクトップ・アプリケーション内のコードのスキャン。
  • 実行時に対話型アプリケーション・セキュリティー・テストを使用してセキュリティーの脆弱性を検出する、Web アプリケーションと Web サービスの分析。
  • ソフトウェア・コンポジッション分析を使用したアプリケーションで使用されている脆弱なオープン・ソース・パッケージの特定。
  • 結果の大まかな概要、および開発者が実行できる改善手順を含む、詳細なセキュリティー脆弱性レポート。
  • 各種 DevOps プラットフォームとの統合。

1.1 オファリング

お客様は、次に示す提供中のオファリングからお選びいただくことができます。

1.1.1 HCL AppScan Analyzer

HCL AppScan Analyzer はアプリケーション・インスタンス単位、ジョブ (スキャン) 単位、同時イベント (スキャン) 単位、または同時実行インスタンスとして注文でき、次のタイプのスキャンを行うことができます。

  • Dynamic Analyzer – 実動前または実稼働 Web サイトをテストします
  • Mobile Analyzer – iOS または Android のアプリケーションをテストします
  • Static Analyzer – アプリケーションのバイトまたはソースコードをテストします

1.1.2 HCL AppScan IAST Analyzer

HCL AppScan IAST Analyzer では、Web アプリケーションおよび Web サービスの実行時におけるセキュリティーの脆弱性を特定します。アプリケーションに実装された IAST エージェントは、アプリケーションの動作をパッシブにモニターすると同時に、HCL AppScan on Cloud と対話して特定された脆弱性をレポートします。HCL AppScan IAST Analyzer は、アプリケーション・インスタンス単位または同時イベント (スキャン) 単位で注文できます。

1.1.2 HCL AppScan Open Source Analyzer

HCL AppScan Open Source Analyzer は、アプリケーション・コードで使用されるオープン・ソース・パッケージを検出および特定します。これらのパッケージの脆弱性を確認し、改善策を提供します。HCL AppScan Open Source Analyzer アプリケーション・インスタンス単位、同時イベント (スキャン) 単位、または同時実行インスタンスとして注文できます。

2. 課金基準

このクラウド・サービスには、次の課金基準が適用されます。

    • アプリケーション・インスタンスとは、クラウド・サービスに接続された、またはクラウド・サービスによって管理される、一意の名前が付けられたソフトウェア・アプリケーション・プログラムのコピーです。複数の環境 (テスト、開発、ステージング、実稼働) 内のアプリケーション、または 1 つの環境内のアプリケーションの複数のインスタンスは、別個のアプリケーション・インスタンスと見なされます。

      このクラウド・サービスでは、アプリケーション・インスタンスとは、1 つのアプリケーションの連続的なスキャンです。詳しくは、次のように定義されます。
    • 動的テストの場合: パブリックまたはプライベート URL でアクセス可能な Web サイトと Web サービス。各アプリケーション・インスタンスは、単一ドメイン内で最大 5,000 ページのサイトを使用する権利があります。
    • 静的テストの場合: 単一の実行可能環境のために作成されたコード単位。各アプリケーション・インスタンスは、最大 1,000,000 行のコード単位をスキャンする権利があります。
    • モバイル・テストの場合: モバイル・デバイスで実行できるバイナリー・コード単位。各モバイル・プラットフォーム (iOS や Android など) は別個のアプリケーション・インスタンスを構成します。
    • オープン・ソースのテストの場合: 単一の実行可能環境のために作成されたコード単位。各アプリケーション・インスタンスは、最大 1,000,000 行のコード単位をスキャンする権利があります。
    • 対話型テストの場合: パブリックまたはプライベート URL でアクセス可能な Web サイトと Web サービス。
  • 同時実行イベントとは、クラウド・サービスによって処理される、またはクラウド・サービスの使用に関連する、特定イベントの同時実行数の合計です。
  • 同時実行インスタンスとは、クラウド・サービスの特定構成への各アクセスです。同時実行インスタンスの使用権において、任意の時点での同時イベント数が同時実行インスタンスの合計同時使用権数を超えない限り、実行されるジョブ数またはアプリケーション・インスタンス数 (接続されるアプリケーション数) に制限はありません。
  • ジョブとは、これ以上は分割できないクラウド・サービス内のオブジェクトで、クラウド・サービスによって管理または処理されるすべてのサブプロセスを含む、コンピューティング・プロセスを表します。オーダーまたはその他該当する添付文書で指定された測定期間中に、クラウド・サービスによって処理または管理される全ジョブ数をカバーするには、十分な使用権を取得する必要があります。
AppScan (スキャン単位)
サブスクリプション・タイプ 説明
ASoC_PerScan

スキャン技術 (Static Analyzer、Dynamic Analyzer、または Mobile Analyzer) を使用して、アプリケーションの単一スキャン (ジョブと見なされます) を提供します。

購入したスキャンは、購入日から 12 か月以内に使用する必要があります。それ以降は期限切れになり、料金は返還されません。スキャン単位に制限時間はありません。スキャンは完了するまで実行されます。

ジョブの実行は 1 度に 3 つのみに制限されています。
AppScan (アプリケーション単位)
サブスクリプション・タイプ 説明
ASoC_PerApplication

年間サブスクリプションにより、アプリケーションに適したスキャン技術 (Static Analyzer、Dynamic Analyzer、または Mobile Analyzer) を使用して、無制限にアプリケーション (アプリケーション・インスタンス) をスキャンできます。

ジョブの実行は 1 度に 1 つのみに制限されています。
AppScan  (無制限価格設定オプション)
サブスクリプション・タイプ 説明
AsoC_PerConcurrent

年間サブスクリプションにより、任意のスキャン技術 (Static Analyzer、Dynamic Analyzer、または Mobile Analyzer) を使用して、アプリケーションをスキャンできます。

ジョブの実行は、「同時スキャン使用権」ごとに 1 つに制限されています。

(同時実行インスタンスが「1」)
ASoC_Premium

年間サブスクリプションにより、任意のスキャン技術 (Static Analyzer、Dynamic Analyzer、または Mobile Analyzer) を使用して、任意のアプリケーションの最大 10 の同時スキャンを実行できます。

ジョブの実行は、「プレミアム」使用権ごとに最大 10 に制限されています。

(同時実行インスタンスが「10」)
ASoC_PerConcurrent と ASoC_Premium は、お客様の同時実行要件を満たすために組み合わせることができます (複数のサブスクリプション・タイプを組み合わせることも可能です)。
AppScan IAST Analyzer (アプリケーション単位)
サブスクリプション・タイプ 説明
ASoC_IAST_PerApplication

年間サブスクリプションにより、アプリケーション (「アプリケーション・インスタンス」) 1 つの IAST スキャンを無制限に実行できます。

IAST ジョブの実行は 1 度に 1 つのみに制限されています。
AppScan Open Source Analyzer (アプリケーション単位)
サブスクリプション・タイプ 説明
ASoC_OSA_PerApplication

年間サブスクリプションにより、アプリケーション (「アプリケーション・インスタンス」) の IAST スキャンを無制限に実行できます。

ジョブの実行は 1 度に 1 つのみに制限されています。
AppScan Open Source Analyzer (無制限価格設定オプション)
サブスクリプション・タイプ 説明
ASoC_OSA_PerConcurrent

年間サブスクリプションにより、任意のアプリケーションのオープン・ソース・スキャンを実行できます。

ジョブの実行は、「同時スキャン使用権」ごとに 1 つに制限されています。

(同時実行インスタンスが「1」)
ASoC_OSA_Premium

年間サブスクリプションにより、任意のアプリケーションの最大 10 の同時オープン・ソース・スキャンを実行できます。

ジョブの実行は、「プレミアム」使用権ごとに最大 10 に制限されています。

(同時実行インスタンスが「10」)

3. 課金と請求

HCL AppScan on Cloud の支払い金額は、オーダーに明記されます。

3.1 1 か月未満の課金

オーダーに明記される 1 か月未満の課金は、日割りで算定されます。

3.2 請求頻度

選択された請求頻度に基づいて、 HCL は請求頻度期間初めに支払うべき料金をお客様に請求します。ただし、超過分と使用量タイプの料金は除きます。これらは、延滞金として請求されます。

3.3 便益を得られる場所

該当する場合、お客様がクラウド・サービスの利益を得ていることが分かる場所を基にした税金が適用されます。HCL は、お客様が HCL に対して別途情報を提供しない限り、クラウド・サービスのオーダー時において、利益を得る主たる場所として記載された会社住所を基に税金を適用します。お客様はこれらの情報を最新に保ち、変更があった場合はそれを HCL に通知する必要があります。

3.4 確認

お客様は、i) HCL とその独立監査人がお客様の契約遵守を確認するために合理的に必要とする記録、システム・ツールの出力を保持し、要求に応じて提供し、ii) 確認の結果、必要と判断された使用権を HCL の最新のレートでただちに注文して支払うほか、その他の料金および債務を、 HCL が請求書で指定するとおりに支払うものとします。これらの遵守確認義務は、クラウド・サービスの期間中とその後 2 年間、有効に存続します。

4. 期間および更新オプション

クラウド・サービスの期間は、使用権に記載されているとおり、HCL がお客様のクラウド・サービスへのアクセスをクライアントに通知した日付から始まります。使用権では、クラウド・サービスが自動更新されるか、期間満了時に終了するのかが指定されます。

自動更新の場合、お客様が期間満了日の少なくとも 30 日前に更新しないことを書面で通知しない限り、クラウド・サービスは使用権で指定された期間が自動更新されます。

5. テクニカル・サポート

サブスクリプション期間中で、かつクラウド・サービスが利用できることを HCL がお客様に通知した後は、HCL がお客様に提供したか、契約に定められているテクニカル・サポート情報をその時点の最新の HCL Web サイトで入手することができます。★

重大度 重大度の定義 目標応答時間 応答時間の範囲
1

ビジネスへの重大な影響/サービスの停止: ビジネス上重要な機能が作動不能、または重要なインターフェースに障害が生じる。一般に、実稼働環境に適用され、サービスにアクセスできず、業務に重大な影響が生じることを示します。この状態には、直ちに解決策が必要です。

1 時間以内 24 時間 365 日
2

ビジネスへの大きな影響: サービスに関するビジネス機能またはサービスの機能の使用が大幅に制限されるか、お客様は納期に間に合わないという窮地に立たされる。

2 営業時間内 平日の営業時間
3

ビジネスへの軽微な影響: サービスまたは機能は使用可能で、業務への重大な影響はありません。

4 営業時間内 平日の営業時間
4

ビジネスへの最小限の影響: 問い合わせまたは技術以外の要求。

1 営業日以内 平日の営業時間

5.1 クライアント・データへのアクセス

HCL は、サービスの問題を診断し、サービスを通してお客様のアプリケーションのスキャンを円滑化するために顧客データにアクセスできるものとします。HCL は、障害を修正し、HCL の製品またはサービスのサポートを提供する目的でのみ当該データにアクセスするものとします。

6. サービス・レベル・アグリーメント

HCL は、クラウド・サービスに関して、以下の可用性のサービス・レベル・アグリーメント (「SLA」) を提供します。この SLA は、保証ではなく、お客様の唯一かつ排他的な救済ともなりません。SLA はお客様にのみ提供され、実稼働環境での使用にのみ適用されます。

6.1 可用性クレジット

お客様は、クラウド・サービスを利用できず、ビジネスに重大な影響が及んでいることを最初に認識してから 24 時間以内に、HCL テクニカル・サポート・ヘルプ・デスクに、重大度 1 のサポート・チケットを記録する必要があります。お客様は問題の診断および解決に際して、 HCL を合理的に手助けする必要があります。

SLA の不履行を申告するサポート・チケットは、契約月の末日から 3 営業日以内に提出する必要があります。有効な SLA の申告に対する補償は、クラウド・サービスの実稼働システム処理が利用できない期間 (「ダウンタイム」) に基づく、クラウド・サービスの将来の請求書に対するクレジッドになります。ダウンタイムは、お客様がイベントをレポートしてから、クラウド・サービスが復元されるまでの時間で測定され、次に関連する時間は含みません。保守のための計画停止または通知済みの停止、 HCL が制御不能な原因、お客様またはサード・パーティーのコンテンツ、技術、設計または指示に関する問題、サポート対象外のシステム構成およびプラットフォーム、または他のお客様のエラー、またはお客様に起因するセキュリティー・インシデントまたはお客様のセキュリティー・テスト。HCL は、各契約月中のクラウド・サービスの累積的な可用性に基づいて、適用できる最大の補償を適用します。契約月の補償の合計額が、クラウド・サービスの年間料金の 12 分の 1 の 10% を超えることはできません。

6.2 サービス・レベル

契約月におけるクラウド・サービスの可用性

契約月における可用性

補償 (申告の対象となる契約月の月次サブスクリプション料金* の %)

99.9% 未満 2%
99% 未満 5%
95% 未満 10%

* クラウド・サービスを HCL のビジネス・パートナーから取得した場合、月次サブスクリプション料金は、申告の対象となる契約月から有効な、クラウド・サービスのその時点での最新の表示価格で計算され、50% の割引が行われます。HCL は、お客様が直接割り戻しを受けられるようにします。可用性はパーセントで表され、契約月の合計分数から契約月のダウンタイム分数合計を引いたものを、契約月の合計分数で割って計算されます。

7. テクノロジー・プレビュー・コード

テクノロジー・プレビュー・コード (TPC) が本件プログラムもしくは本件プログラムの更新プログラムに付属または本件プログラムもしくは本件プログラムの更新プログラムとともに配布される場合がありますが、TPC は本件プログラムの一部ではありません。以下の定めを除き、本件プログラムと同一の条件に基づいて TPC は利用許諾されます。TPC は Noticesファイル (または更新プログラムに付属する更新された Noticesファイル) において、TPC である旨が明記されます。HCL が製品としてまたは製品内において TPC の全部または一部を一般に利用可能な状態にしない場合があります。本件ライセンシーは評価を目的として社内利用するためにのみ TPC を利用することができます。購入時または購入前にその他の言明★が行われたかどうかに関わらず、本件ライセンシーは、本件プログラムが本件ライセンシーの Web サイト、Web アプリケーション、または技術環境に対して適正なものであるか、安全なものであるかを判断する責任を負います。本件ライセンシーは、本件プログラムの使用に関連するあらゆるリスクを引き受けるものとします。Notices ファイルまたは概念実証契約 (POC) において当該評価利用の期間が限定されている場合があります。かかる限定がされている場合、評価期間の満了時に、本件ライセンシーは TPC の利用を停止し、TPC をアンインストールするものとします。HCL はサポート義務を負うことなく、かつ、明示または黙示のいかなる種類の保証 (権原、非侵害、または非干渉の保証、ならびに商品性および特定目的適合性のあらゆる黙示の保証および条件を含みますが、これらに限りません) もすることなく、現状有姿で TPC を提供します。

本件プログラムとともに譲渡する場合を除き、本件ライセンシーは TPC を別の当事者に譲渡することはできません。評価期間の満了後に利用されることを防止するための無効化装置が TPC に含まれている場合があります。本件ライセンシーは かかる無効化装置または TPC を不正に変更しないものとします。TPC が利用不可能になったときに生じる可能性があるデータの喪失を回避するために、本件ライセンシーは予防措置を講じるものとします。

8. HCL SaaS 製品のその他の条件

8.1 セキュリティー・スキャン

セキュリティー・スキャンは、アプリケーションのすべてのセキュリティー・リスクを特定するものではなく、フェイルセーフ操作を必要とする危険な環境で使用するように設計または意図されているわけでもありません。これには、航空機航行、航空管制システム、武器システム、生命維持システム、原子力施設が含まれますが、これらに限定されるものではなく、セキュリティー・リスクを特定できない場合に死亡、人身傷害、または物的損害につながる可能性があるその他のあらゆる用途を含みます。セキュリティー・スキャンを、中断なしまたはエラーなしで行うことは保証されません。

HCL AppScan on Cloud は、お客様が法律、規則、標準、または慣行に基づいて遵守義務を満たすことを支援するために使用できます。サービスによって提供される指示、提案される使用法、またはガイダンスは、法律、会計、その他の専門家の助言を構成するものではありません。お客様は、独自に法律家またはその他の専門家の助言を得るものとします。お客様は、お客様とお客様の活動、アプリケーション、およびシステムが適用可能なすべての法律、規則、標準、慣行に遵守することを保証する責任を単独で負います。サービスの使用は、法律、規則、標準、慣行の遵守を保証するものではありません。

HCL AppScan on Cloud は、お客様がスキャン対象として選択した、Web サイトおよび Web またはモバイル・アプリケーションに対して、安全でないテストと安全なテストを実行します。コンピューター・システムへの侵入または不正アクセスは、特定の法律では禁止されています。お客様は、 HCL が本契約に記載されているサービスを実施することを許可し、当該サービスにはお客様のコンピューター・システムへのアクセス許可も含まれることを承認するものとします。HCL は、このような許可を受けていることがサービスの実施に必要だと見なされる場合、当該許可について開示することができます。テストは、以下のような一定のリスクを伴います (以下に限定されるわけではありません)。

テストでアプリケーションを実行中に、お客様のコンピューター・システムが異常停止またはクラッシュし、一時的にシステムを使用できなくなったり、データが損失することがあります。

  • お客様のシステムのパフォーマンスやスループット、および関連するルーターやファイアウォールのパフォーマンスやスループットが、テスト中に一時的に低下することがあります。
  • 過剰な量のログ・メッセージが生成され、ログ・ファイルのディスク領域が過剰に使用されることがあります。
  • 脆弱性を調査した結果として、データが変更または削除されることがあります。
  • 侵入検知システムによってアラームがトリガーされることがあります。
  • テストされている Web アプリケーションの E メール機能によって、E メールがトリガーされることがあります。
  • HCL AppScan on Cloud が、イベントを捜すために監視対象ネットワークのトラフィックをインターセプトすることがあります。

HCL が提供する、テスト対象の Web サイトまたはアプリケーションに関連するサービス・レベル・アグリーメントの権利または補償は、テスト活動中は放棄されます。

テスト中に、お客様がアプリケーションの認証済みログイン資格情報をサービスに入力する際、お客様は実稼働ユーザーの資格情報ではなく、テスト・アカウントの資格情報のみを入力する必要があります。実稼働ユーザーの資格情報を使用すると、サービスによって個人データが転送されてしまう可能性があります。

HCL AppScan on Cloud は、実稼働 Web アプリケーションをスキャンするように構成できます。お客様がスキャン・タイプを「実稼働」に設定すると、サービスは上記のリスクを減少させる方法でスキャンを実行します。ただし、特定の状況において、テスト済み実稼働サイトおよびインフラストラクチャー内で、HCL AppScan on Cloud によってパフォーマンスが低下したり不安定になる場合があります。HCL は HCL AppScan on Cloud を使用して実稼働サイトをスキャンすることの適合性について、いかなる保証あるいは表明も行いません。

お客様は、サービスがお客様の Web サイト、Web アプリケーション、モバイル・アプリケーションまたは技術環境に対して適正なものであるか、または安全なものであるかを判断する責任を負います。

HCL AppScan on Cloud は、モバイル・アプリケーション、Web アプリケーション、および Web サービスのさまざまなセキュリティー上の問題および遵守に関する問題を特定するように設計されています。すべての脆弱性または遵守リスクをテストするわけでも、セキュリティー攻撃に対する防壁として機能するわけでもありません。セキュリティーの脅威、規則、および標準は絶えず変化しており、本サービスはこれらの変化すべてを反映していないことがあります。お客様の Web アプリケーション、システム、従業員のセキュリティーおよび遵守、ならびに改善策は、お客様が一切の責任を負います。本サービスによって提供される情報を使用するかどうかは、お客様の判断に一任されます。

コンピューター・システムへの侵入または不正アクセスは、特定の法律では禁止されています。お客様は、お客様が所有する、またはお客様がスキャンする権利および権限を持つ Web サイトおよびアプリケーション以外の Web サイトおよびアプリケーションのスキャンに、本サービスを使用しないことを保証する責任があります。

明確にするために、CSA の「データ保護」セクションに記載されているお客様のコンテンツには、アプリケーション侵入テスト中に HCL がアクセスできるデータも含まれるものとします。

8.2 データの使用および Cookies

HCL プライバシー・ステートメント情報をご覧ください。https://www.hcltech.com/privacy-statement

お客様は、HCL が HCL AppScan on Cloud の通常の運用およびサポートの一環として、追跡およびその他技術を使用して HCL AppScan on Cloud の使用に関連するお客様 (お客様の従業員および請負業者) の個人情報を収集することを認識し、これに同意するものとします。HCL は、ユーザー・エクスペリエンスの向上、お客様との効果的な対話の実現、またはその両方を目的として、HCL AppScan on Cloudの使用法に関する統計および有用性に関する情報を収集することはありません。クライアントは、収集した個人情報を、 HCL が上記の目的のために、HCL、その他の HCL 会社および外注業者内の、HCL およびかかる外注業者が業務を行う場所で、該当する法律を遵守して、処理することを許可する同意を得るか、得ていることを確認します。HCL は、収集した個人情報へのアクセス、更新、修正、削除を求めるクライアントの従業員および請負業者からの要求に応じるものとします。

レポート・アクティビティーを含む、HCL AppScan on Cloud の一部として、HCL は HCL AppScan on Cloud から収集した匿名化された集約情報 (「セキュリティー・データ」) を処理および管理します。次に記載する場合を除き、セキュリティー・データはお客様または個人を特定しません。お客様はさらに、HCL が次の目的でのみセキュリティー・データを使用およびコピーすることに同意します。

  • セキュリティー・データの公開および配信 (サイバーセキュリティーに関連する編集および分析など)
  • 製品またはサービスの開発または機能拡張
  • 社内で、またはサード・パーティーとともに研究を行う
  • 法律の範囲内で、確認済みのサード・パーティーの犯罪者情報を共有

8.3 イネーブリング・ソフトウェア

クラウド・サービスは、クラウド・サービスを使いやすくするためにお客様がお客様のシステムにダウンロードする、イネーブリング・ソフトウェアの使用を必要とすることがあります。お客様は、次に記載するイネーブリング・ソフトウェアを、クラウド・サービスの使用に関連してのみ使用することができます。イネーブリング・ソフトウェアは、次の条件に基づきお客様に提供されます。

イネーブリング・ソフトウェア 該当するライセンス条件 (ある場合)
Static Analyzer Client Utility (IRX Generator) 現状のままの使用を前提として提供
AppScan GO! 現状のままの使用を前提として提供
AppScanプレゼンス 現状のままの使用を前提として提供

AppScan IAST エージェント

現状のままの使用を前提として提供